Ciberseguridad 360 | El grupo de hackers norcoreano Andariel ataca con el nuevo malware EarlyRat

EarlyRAT's POST request

Andariel, una amenaza alineada con Corea del Norte, utiliz� un malware no documentado anteriormente llamado EarlyRat en ataques de phishing, a�adiendo otra pieza al amplio conjunto de herramientas del grupo.

"Andariel infecta las m�quinas mediante la ejecuci�n de un exploit Log4j, que, a su vez, descarga m�s malware desde el servidor de comando y control (C2)", afirma Kaspersky en un nuevo informe.

Tambi�n llamado Silent Chollima y Stonefly, Andariel est� asociado con el Lab 110 de Corea del Norte, una unidad de hacking primaria que tambi�n alberga APT38 (aka BlueNoroff) y otros elementos subordinados rastreados colectivamente bajo el nombre paraguas Lazarus Group.

Adem�s de realizar ataques de espionaje contra entidades gubernamentales y militares extranjeras de inter�s estrat�gico, se sabe que este agente de amenazas lleva a cabo ciberdelitos como fuente adicional de ingresos para la naci�n afectada por las sanciones.

Algunas de las armas cibern�ticas clave de su arsenal incluyen una cepa de ransomware denominada Maui y numerosos troyanos de acceso remoto y puertas traseras como Dtrack (alias Valefor y Preft), NukeSped (alias Manuscrypt), MagicRAT y YamaBot.

NukeSped contiene una serie de funciones para crear y terminar procesos y mover, leer y escribir archivos en el host infectado. El uso de NukeSped se solapa con una campa�a rastreada por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. bajo el nombre de TraderTraitor.

El uso por parte de Andariel de la vulnerabilidad Log4Shell en servidores VMware Horizon sin parches fue documentado previamente por AhnLab Security Emergency Response Center (ASEC) y Cisco Talos en 2022.

La �ltima cadena de ataques descubierta por Kaspsersky muestra que EarlyRat se propaga mediante correos electr�nicos de phishing que contienen documentos se�uelo de Microsoft Word. Cuando se abren los archivos, se pide a los destinatarios que habiliten las macros, lo que conduce a la ejecuci�n del c�digo VBA responsable de la descarga del troyano.

Descrito como una puerta trasera simple pero limitada, EarlyRat est� dise�ado para recopilar y filtrar informaci�n del sistema a un servidor remoto, as� como ejecutar comandos arbitrarios. Tambi�n comparte similitudes de alto nivel con MagicRAT, por no mencionar que est� escrito utilizando un framework llamado PureBasic. MagicRAT, por su parte, emplea el framework Qt.

Otra t�ctica invisible observada en ataques que explotaban la vulnerabilidad Log4j Log4Shell el a�o pasado se refiere al uso de herramientas leg�timas disponibles en el mercado como 3Proxy, ForkDump, NTDSDumpEx, Powerline y PuTTY para explotar a�n m�s el objetivo.

"A pesar de ser un grupo APT, Lazarus es conocido por realizar tareas t�picas de la ciberdelincuencia, como el despliegue de ransomware, lo que complica el panorama de la ciberdelincuencia", dijo Kaspersky. "Adem�s, el grupo utiliza una amplia variedad de herramientas personalizadas, actualizando constantemente las existentes y desarrollando nuevo malware".

Fuente: thehackernews